آموزش امنیت وردپرس
آموزش امنیت وردپرس
امنیت در وردپرس از اهمیت بسیار بالایی برخوردار است . که بطور جدی به آن پرداخته میشود. اما درست مانند هرسیستم دیگری، درصورت عدم رعایت برخی نکات ایمنی ساده ممکن است با مشکلات امنیتی احتمالی برخورد کنیم. در این مطلب آموزش امنیت وردپرس به بررسی برخی از معمولترین آسیب پذیریها و راهکارهای بالا بردن امنیت سایت وردپرس میپردازیم.
مقاله ی امنیت سایت راه حل نهایی برای تمامی دغدغههای امنیتی شما نیست. اگر نگرانی بخصوصی دارید، بهتر است با کسانی که به دانش آنها در زمینهی امنیت کامپیوتر و وردپرس اطمینان دارید، نگرانیها و سوالات خود را در میان بگذارید. تیم وب یار با خدمات و پشتیبانی سایت به صورت 24 ساعته ، امنیت خاطر را برای تمامی مشتریان خود به ارمغان می آورد.
امنیت سایت چیست؟
اساساً وقتی صحبت از امنیت میشود، منظورمان سیستمهای کاملاً امن نیستند. یافتن چنین چیزی عملاً غیر ممکن بنظر میرسد. یک سرور امن از حریم خصوصی، یکپارچگی و در دسترس بودن منابع تحت کنترل سرور محافظت و اطمینان حاصل میکند.
ویژگیهای یک هاست قابل اطمینان عبارتند از:
- مشتاقانه درمورد انتظارات و نگرانیهای امنیتی شما وهمچنین ویژگیها و پروسههای امنیتی که هاستینگ در اختیار شما خواهند گذاشت، با شما صحبت میکند.
- آخرین و با ثباتترین نسخههای نرمافزار سرور را در اختیارتان میگذارد.
- روشهای قابل اعتماد بازیابی اطلاعات و پشتیبانگیری (بک آپ) را برای شما فراهم میکند.
با مشخص کردن نرمافزار و اطلاعاتی که باید محافظت شوند، درمورد نوع امنیتی که برای سرور خود مدنظردارید تصمیم بگیرید. ادامهی آموزش امنیت وردپرس ، شما را در این زمینه راهنمایی خواهد کرد.
پوستههای امنیتی
در تصمیم گیری در مورد امنیت جنبههای مختلف سیستم خود، چند نکتهی کلی را در نظر داشته باشید:
محدود کردن دسترسی
کاهش نقاط ورود احتمالی برای افرادی که مقاصد سوء دارند.
مهار
سیستم باید به نحوی کانفیگ شود که میزان خسارتی که در صورت در خطر قرار گرفتن یک رویداد ممکن است به سیستم وارد شود را به حداقل برساند.
آماده سازی و دانش
برداشتن بک آپ و اطلاع از وضعیت وردپرس در فواصل زمانی مشخص. داشتن برنامهای برای بک آپ و بازیابی اطلاعات میتواند در صورت بروز هر گونه مشکلی، شما را هر چه سریعتر به حالت روزمره برگرداند.
منابع مورد اعتماد
یکی از مواردی که در آموزش امنیت وردپرس وجود دارد این است که از منابع غیر قابل اعتماد، پوسته (theme) و افزونه (plugin) نگیرید. خود را به مجموعهی موجود در WordPress.org و یا کمپانیهای قابل اعتماد محدود کنید. گرفتن پوسته و افزونه از خارج از وردپرس ممکن است منجر به پدید آمدن مشکلاتی شود.
آسیب پذیریهای کامپیوتر شما
مطمئن شوید که کامپیوترهای مورد استفادهی شما عاری از هر گونه جاسوس افزار، بدافزار و ویروس باشند.
همیشه سیستمعامل و نرم افزارهای خود، بخصوص مرورگر اینترنتی، را بهروز نگه دارید تا سیستم خود را از نقصهای امنیتی مصون نگه دارید؛ اگر قصد بازدید از سایتهای غیر قابل اطمینان و مشکوک را دارید، بهتر است از ابزاری مانند no-script استفاده و یا جاوا اسکریپت، فلش و جاوا را در مرورگر خود غیر فعال کنید.
آسیبپذیریهای وردپرس
مانند دیگر بستههای نرم افزاری مدرن، وردپرس بطور مرتب برای آمادگی در مقابل مشکلات امنیتی احتمالی آپیدت میشود. بحث بهبود امنیت نرمافزاری یکی از دغدغههای همیشگی است و برای دستیابی به آن همیشه ازآخرین نسخهی وردپرس استفاده کنید. نسخههای قدیمی وردپرس از نظر امنیتی آپدیت نمیشوند.
بهروز رسانی وردپرس
آخرین نسخهی وردپرس را همواره میتوانید از وبسایت اصلی وردپرس به آدرس wordpress.org دریافت کنید. آپیدیتهای رسمی هیچگاه در وبسایت های دیگر قابل دسترسی نیستند. بنابراین هرگز وردپرس را از وبسایتی به غیر از http://wordpress.org دانلود نکنید.
از نسخهی ۳٫۷ به بعد، وردپرس گزینهی آپدیت خودکار اضافه کرده است. با استفاده از این ویژگی میتوانید براحتی بهروز بمانید. به علاوه میتوانید از طریق Dashboard وردپرس از آپدیتها با خبر شوید.
در صورت پدید آمدن یک آسیب پذیری در وردپرس و عرضه شدن نسخهای جدید از وردپرس برای برطرف کردن این مشکل، اطلاعات مورد نیاز برای نحوهی استفاده از این آسیب پذیری بطور قطع در دامنهی عمومی قرار دارد؛ بنابراین نسخههای قدیمی همیشه بیشتر در معرض حملات قرار دارند و به همین دلیل به روز رسانی اهمیت زیادی پیدا میکند.
اگر شما بیش از یک نصب وردپرس را مدیریت میکنید، میتوانید از Subversion برای تسهیل مدیریت استفاده کنید.
گزارش مشکلات امنیتی
اگر با نقصی امنیتی در وردپرس روبرو شدید، میتوانید برای رفع هر چه سریعتر آن، مشکل را گزارش کنید. لطفا برای اطلاعات بیشتر در مورد نحوهی گزارش ایرادات، Security FAQ را بخوانید.
اگر فکر میکنید با یک باگ مواجه شدهاید، آنرا گزارش کنید. برای اطلاعات بیشتر Submitting Bugs را بخوانید. باگها یا به خودی خود آسیب پذیریهای امنیتی هستند یا منجر به نقصهای امنیتی میشوند.
آسیب پذیریهای سرور
سرور اینترنتی وردپرس و نرمافزارهای روی آن ممکن است دارای نقاط ضعف باشند. به همین دلیل، اطمینان حاصل کنید که از نسخههای با ثبات و امن سرور و نرمافزار روی آن استفاده میکنید و یا از هاست قابل اطمینانی استفاده کنید که مطمئن هستید به این موارد رسیدگی میکند.
اگر شما در سروری مشترک ( سروری که وبسایت های دیگری را نیز در کنار وبسایت شما هاست میکند) قرار دارید و وبسایتی در سرور شما دچار مشکلات امنیتی شد، به احتمال بسیار بالا، وبسایت شما نیز در معرض خطر قرار دارد حتی اگر تمامی توصیههای این مطلب را انجام داده باشید. به همین خاطر بهتر است از سرور خود در مورد اقدامات پیشگیرانهی امنیتی که انجام میدهند، اطلاعاتی کسب کنید.
آسیب پذیریهای شبکه
شبکه در هر دو انتها، یعنی انتهای وردپرس و انتهای مشترک، باید قابل اطمینان باشد. برای این منظور باید قوانین فایروال مودم خود بروزرسانی کنید و حواستان باشد که از چه شبکههایی کار میکنید. کافی نتی که در آن پسوورد خود را از طریق اتصال اینترنتی، وایرلس و یا به هر شکل دیگر میفرستید، شبکهای امن محسوب نمیشود.
هاست اینترنتی شما باید در مقابل حملات ایمن باشد. در غیر این صورت، نقصهای امنیتی شبکه میتوانند به دزدیده شدن پسوورد و دیگر اطلاعات حساس شما شوند.
پسوورد
بسیاری از نقصها و آسیبپذیریهای احتمالی با عادات امنیتی درست قابل پیشگیری هستند. یک پسوورد قوی نقش مهمی در این امر دارد.
پسوورد قوی پسووردی است که برای افراد دیگر غیر قابل حدس باشد و حملات جستجوی فراگیر موفق به یافتن آن نشوند. حملات جستجوی فراگیر، بر خلاف هک کردن که بدنبال نقصهای امنیتی میگردد، بقدری یوزرنیم و پسووردهای مختلف را امتحان میکنند تا به نتیجه برسند. ابزارهای خودکار تولید پسوورد وجود دارند که میتوانند یک پسوورد امن به شما پیشنهاد کنند.
یکی از ویژگیهای وردپرس، دارا بودن نشانگر میزان قوی بودن یک پسوورد است. زمانی که قصد تغییر پسوورد خود را داشته باشید، از طریق این نشانگر میتوانید بدانید که پسوورد انتخابی شما تا چه حد قوی است.
نکاتی که در انتخاب پسوورد باید از آنها اجتناب کرد:
- هرگونه استفادهای از نام اصلی، یوزرنیم، نام شرکت و یا نام وبسایت
- لغتی از لغتنامهای به هر زبان
- پسوورد کوتاه
- یک پسوورد تماماً عددی یا تماماً حروفی (ترکیبی از این دو بهترین گزینه است)
یک پسوورد قوی نه تنها برای محافظت از محتوای بلاگ شما ضروری است، بلکه اگر هکری به اکانت مدیریت شما دست پیدا کند، میتواند اسکریپتهایی مخرب نصب کند که کل سرور را در معرض خطر قرار دهد. بنابراین با داشتن پسووردی مطمئن، میتوانید از این خطرات دور بمانید.
علاوه بر داشتن پسووردی قوی، بهتر است احراز هویت دو مرحلهای (two-step authentication) را نیز به عنوان اقدام احتیاطی اضافه، فعال کنید.

آموزش امنیت وردپرس
FTP
برای اتصال به سرور، از رمز گزاری SFTP استفاده کنید. اگر نمیدانید که هاست اینترنتی شما این امکان را فراهم کرده یا نه، میتوانید از آنها بپرسید.
استفاده از SFTP درست مانند استفاده از FTP است با این تفاوت که در SFTP تمامی اطلاعات و پسوورد شما در انتقال بین کامپیوتر . وبسایت شما، رمزگذاری میشوند. این بدین معنی است که پسوورد شما هیچگاه به همان شکل اصلی فرستاده نمیشود و در نتیجه هکرها نمیتوانند از پسوورد شما استفاده کنند.
اجازه دسترسی فایل
یکی از مواردی که در آموزش امنیت وردپرس و امنیت سایت وجود دارد این است که وردپرس، به عنوان یکی از ویژگیهای خود، به سرور اجازهی رایت از فایلها را میدهد. با این وجود، دادن دسترسی رایت برای فایلهایتان میتواند خطرساز باشد، بخصوص اگر در محیط هاستینگ مشترک فعالیت میکنید.
بهتر است که اجازهی دسترسی به فایلهای خود را تا حد امکان محدود کنید و فقط در مواقعی که نیاز دارید، این دسترسی را باز کنید. میتوانید فولدر جدیدی با سطح دسترسی بیشتر برای مقاصدی مانند آپلود کردن فایل بسازید.
یکی از طرحهای سطح دسترسی را در اینجا ببینید:
تمام فایلها بایستی متعلق به اکانت کاربری شما و قابل رایت توسط شما باشند. هر فایلی که نیازمند اجازهی رایت از وردپرس باشد، باید توسط سرور نیز قابل رایت باشد. این بدین معنی است که فایلها باید بصورت گروهی متعلق به اکانت کاربری باشندکه توسط سرور مورد استفاده قرارمیگیرد.
/دیرکتوری روت وردپرس:
تمامی فایلها بایستی فقط توسط اکانت کاربری قابل رایت باشند.
/wp-admin/
منطقهی مدیریتی وردپرس:
تمامی فایلها فقط توسط اکانت کاربری شما قابل رایت باشند.
/wp-includes/
بخش عمدهی منطق اپلیکیشن وردپرس:
تمامی فایلها فقط توسط اکانت کاربری شما قابل رایت باشند.
</wp-content/
محتوای عرضه شده توسط کاربر:
قابل رایت توسط اکانت کاربری شما و پروسهی سرور وب.
در /wp-content/ میتوانید گزینههای زیر را بیابید:
/wp-content/themes/
فایلهای پوسته:
اگر تمایل به استفاده ازویرایشگر پوستهی داخل وردپرس داشته باشید، تمامی فایلها باید توسط پروسهی سرور وب قابل رایت باشند. اما اگر نمیخواهید از این ادیتور استفاده کنید، میتوانید سطح دسترسی به فایلها رو طوری تنظیم کنید که فقط توسط اکانت کاربری شما قابل رایت باشند.
/wp-content/plugins/
فایلهای افزونه: تمامی فایلها باید فقط قابل رایت با اکانت کاربری شما باشند.
دیرکتوریهای دیگر که ممکن است با /wp-content/ موجود باشند، باید توسط پوسته و یا افزونهای که به آنها نیاز دارند، ثبت شوند. سطح دسترسی ها در این موارد متغیر هستند.
تغییر دادن سطح دسترسی فایل
اگر دسترسی شل(shell) به سرور دارید، میتوانید سطح دسترسی فایل را توسط دستور زیر تغییر دهید:
برای دیرکتوریها:
find /path/to/your/wordpress/install/ -type d -exec chmod 755 {} ;
برای فایلها:
find /path/to/your/wordpress/install/ -type f -exec chmod 644 {} ;
بهروز رسانی خودکار
وقتی ازوردپرس میخواهید که بهروزرسانی خودکار انجامدهد، تمامی این عملیات بهعنوان کاربر صاحب فایل انجام میگیرند نه به عناون کاربر سروروب. تمامی فایلها به ۰۶۴۴ و تمامی دیرکتوریها به ۰۷۵۵ ست میشوند. فایلها و دیرکتوریها قابل رایت توسط کاربر و قابل مشاهده توسط تمامی افراد به علاوهی سرور وب هستند.
امنیت پایگاه داده (دیتا بیس)
اگر بر روی یک سرور از چند بلاگ مختلف استفاده میکنید، بهتر است آنها را در دیتابیسهای جداگانه که توسط کاربرهای متفاوت مدیریت میشوند نگهداری کنید. با انجام دادن نصب اولیهی وردپرس، میتوانید به این هدف دست پیدا کنید. در واقع این یک استراتژی مهار است: اگر فردی توانست با موفقیت یک نصب وردپرس را هک کند، این استراتژی باعث میشود که دسترسی و تغییر دادن بلاگهای دیگر شما برای اون سخت باشد.
اگر خود شما MySQL را مدیریت میکنید، اطمینان حاصل کنید که در مورد MySQL اطلاعات کافی دارید و ویژگیهای غیرضروری آن (مانند پذیرش اتصالات TCP از راه دور) غیر فعال هستند.
محدود کردن اختیارات کاربر دیتابیس
برای انجام کارهای معمول در وردپرس، مانند گذاشتن مطالب در بلاگ، آپلود کردن فایل، گذاشتن کامنت، ایجاد کردن اکانت کاربری جدید و نصب افزونههای وردپرس، کاربر MySQL فقط به اختیارات خواندن و رایت کردن داده در MySQL مانند Select، Insert، Update و Delete نیاز دارد.
به همین دلیل، بهتر است اختیارات مدیریتی دیگر مانند Drop، Alter و Grant از کاربر گرفته شوند. با گرفتن این اختیارات، در واقع به استراتژی مهار و در نتیجه امنیت بیشتر کمک میکنید.
توجه کنید: بعضی از پوستهها، افزونهها و آپدیتهای اصلی وردپرس ممکن است نیازمند انجام تغییراتی ساختاری مانند اضافه کردن جدولهای جدید و یا تغییر طرح کلی باشند. در این موارد، قبل از نصب افزونه و یا اعمال آپدیت، بایستی بطور موقت این اختیارات را در اختیار کاربر دیتابیس بگذارید.
احتیاط:
اعمال کردن آپدیت بدون داشتن این اختیارات ممکن است در زمان تغییر طرح، باعث ایجاد مشکلاتی شود. اگر بنا به دلایل امنیتی نیاز به انجام آپدیت دارید، حتماً یک بک آپ قابل اعتماد از دیتابیس داشته باشید. تا در مواقع نیاز بتوانید اطلاعات خود را از طریق آن براحتی برگردانید. در صورت ناموفق بودن آپگرید دیتابیس ، میتوانید این مشکل را براحتی حل کنید. کافیست دیتابیس را به یک نسخهی قدیمیتر برگردانید، اختیارات مورد نیاز را در اختیار آن بگذارید و اجازه دهید تا خود وردپرس آپدیت را دوباره انجام دهد.
بازگرداندن دیتابیس به یک نسخهی قدیمی باعث میشود که بخش مدیریتی وردپرس متوجه وجود نسخهی قدیمی بشود و سپس به شما اجازه دهد که دستورهای SQL مورد نیاز را بر روی آن انجام دهید. اکثر آپگریدهای وردپرس تغییری در طرح انجام نمیدهند. فقط برخی از آپگریدهای اساسی (۳٫۷ تا ۳٫۸ به عنوان مثال) این تغییرات را اعمال میکنند و آپگریدهای کوچک (۳٫۸ تا ۳٫۸٫۱) معمولاً این کار را انجام نمیدهند. اما در هر صورت، داشتن یک بک آپ مطمئن همیشه اقدام درستی است.
ایمن کردن wp-admin
یکی دیگر از موارد آموزش امنیت وردپرس و امنیت سایت ، اضافه کردن پسورد از جانب سرور (مانند BasicAuth) به /wp-admin/ یک لایهی محافظتی دوم در اطراف محیط مدیریتی بلاگ، صفحهی لاگین و همچنین فایلهای شما ایجاد میکند. این لایه باعث میشود که هکر بجای رفتن به سراغ فایلهای ادمین شما، به این لایهی دوم حمله کند. اکثر حملات به وردپرس از طریق نرمافزارهای خرابکار و بطور خودکار انجام میشوند.
اینکه فقط wp-admin/ را ایمن کنید ممکن است برخی قابلیتهای وردپرس، مانند هندلر AJAX در wp-adin/admin-ajax.php را از کار بیاندازد.
معمولترین حملات به بلاگهای وردپرس بطور معمول در دو گروه قرار میگیرند:
- فرستادن درخواستهای HTTP که به طور بخصوص برای استفاده از آسیب پذیریهای بخصوصی ساخته شدهاند.
- تلاش برای دسترسی پیدا کردن به بلاگ شما با استفاده از روش حملات جستجوی فراگیر که قبلا به آن پرداختیم.
هدف نهایی اعمال این لایهی دوم پسوورد، خواستن یک اتصال رمزگزای شدهی HTTPS SSL برای مدیریت است به این منظور که تمام ارتباطات و اطلاعات حساس رمزگزاری شوند.
ایمن سازی wp-includes
لایهی دومی از امنیت را میتوان زمانی اضافه کرد که قرار نیست هیچ کاربری به اسکریپتها دسترسی داشته باشد. یک روش انجام این کار، بلاک کردن آن اسکریپتها با استفاده از mod-rewrite در .htaccess است.
توجه: برای اطمینان از اینکه کد زیر توسط وردپرس بازنویسی نشدهاند، آنرا خارج از تگهای #BEGIN WordPress و # END WordPress در فایل .htaccess قرار دهید. وردپرس میتواند هر چیزی را که بین این دو تگ باشد بازنویسی کند.
# Block the include-only files. />
RewriteEngine On
RewriteBase / />
RewriteRule ^wp-admin/includes/ – [F,L] />
RewriteRule !^wp-includes/ – [S=3] />
RewriteRule ^wp-includes/[^/]+.php$ – [F,L] />
RewriteRule ^wp-includes/js/tinymce/langs/.+.php – [F,L] />
RewriteRule ^wp-includes/theme-compat/ – [F,L] />
<p># BEGIN WordPress
توجه کنید که این روش در Multisite جواب نمیدهد به این دلیل که RewriteRule^wp-includes/[^/]+.php$-[F,L] از ایجاد کردن ایمج توسط ms-files.php جلوگیری میکند. حذف کردن این خط باعث میشود که کد مورد نظر کارکند اما از نظر امنیت در سطح پایینتری قرار دارد.
آموزش امنیت وردپرس
ایمن سازی wp-config.php
یکی دیگر از موارد آموزش امنیت وردپرس و امنیت سایت ، انتقال فایل wp-config.php به دیرکتوری بالای نصب وردپرس می باشد. این به این معنی است که در مورد سایتی که در روت فضای وب شما نصب شده باشد، میتوانید wp-config.php را خارج از فولدر web-root ذخیره کنید.
توجه: افراد بسیاری بر این باورند که انتقال wp-config.php فواید امنیتی بسیار کمی دارد و اگر بدرستی انجام نشود، حتی میتواند باعث ایجاد نقصهای امنیتی جدی نیز شود.
wp-config.php را میتوانید در در یک سطح دیرکتوری بالای نصب وردپرس (جایی که wp-includes قرار دارد) ذخیره کنید. به علاوه، اطمینان حاصل کنید که فقط شما (و سرور وب) میتواند این فایل را بخواند (این معمولاً دسترسی ۴۰۰ یا ۴۴۰ است).
اگر از سروری با .htaccess استفاده میکنید، میتوانید این کد را در فایل مربوطه (در بالاترین قسمت) قرار دهید تا از دسترسی افرادی که آنرا جستجو میکنند، جلوگیری کنید.
داشبورد وردپرس بطور پیش فرض به مدیران اجازهی ویرایش فایلهای PHP مانند فایلهای افزونه و پوسته را میدهد. این معمولاً اولین ابزاری است که یک هکر، اگر موفق به لاگ این شود، از آن استفاده خواهد کرد زیرا اجازهی اجرای کد را در اختیار او میگذارد.
با قرار دادن این خط در wp-config.php ، قابلیتهای edit_themes، edit_plugins و edit_files را از تمام کاربران میگیرید:
البته در نظر داشته باشید که این کار مانع از این نمیشود که فرد مهاجم فایلهای مخرب را در سایت شما آپلود کند اما میتواند جلوی برخی حملات را بگیرد.
افزونهها
در آموزش امنیت وردپرس و امنیت سایت ، این مورد را در خاطر داشته باشید که در درجهی اول، همیشه تمامی افزونههای خود را آپدیت کنید. علاوه بر این، اگر از افزونهی خاصی استفاده نمیکنید، آنرا حذف کنید.
فایروال
سرویسها و افزونههای زیادی هستند که میتوانند نقش فایروال را بر روی وب سایت شما ایفا کنند. روش کار برخی از آنان بدین صورت است که تغییراتی در فایل .htaccess شما اعمال میکند و دسترسی در سطح Apache را، قبل از اینکه توسط وردپرس پردازش شود، محدود میکند . Better WP Security و All in One WP Security نمونههای خوبی از این افزونهها هستند. بعضی از افزونههای فایروال مانند WordFence، در سطح وردپرس عمل میکنند و حملات را زمانی که وردپرس در حال لود شدن است اما هنوز کامل پردازش نشده، فیلتر میکنند.
در کنار افزونهها، میتوانید یک WAF (فایروال وب) بر روی سرور خود نصب کنید تا محتوی را قبل از پردازش شدن توسط وردپرس فیلتر کند. محبوب ترین WAF اوپن سورس، ModSecurity است.
به علاوه فایروال میتواند بین کمپانی هاستینگ شما و اینترنت قرار گیرد و DNS رکوردهای شما را مجاب کند که از یک فایروال عبور کنند. با این کار، تمامی ترافیک قبل از رسیدن به سایت شما، از طریق فایروال فیلتر میشود. تعدادی کمپانی چنین سرویسهایی را ارائه میدهند مانند CloudFlare و Sucuri.
افزونههایی که نیاز به اجازهی رایت دارند
اگر افزونهای اجازهی رایت از فایلها و دیرکتوریهای وردپرس شما را خواست، حتماً کد آنرا بخوانید و از قابل اعتماد بودن آن اطمینان حاصل کنید.
افزونههای اجرای کد
همانطور که گفتیم، یکی از دلایل محکم سازی وردپرس، محدود کردن میزان خسارت در صورت موفق بودن حملات هکرهاست.افزونههایی که اجازهی اجرای PHP و یا کدهای دیگر را از ورودیهای دیتابیس میدهند، میتوانند در صورت وقوع حملات موفق، میزان خسارت را چند برابر کنند.
یکی از راههای اجتناب از چنین افزونههایی، استفاده از custom page templates است. بخشی از امنیتی که این روش وعده میدهد، تنها زمانی اتفاق میافتد که امکان ویرایش فایل درداخل وردپرس راغیرفعال کنید.
امنیت از طریق گمنامی
انتخاب این روش به عنوان استراتژی اصلی امنیتی، عاقلانه بنظر نمیرسد. با این وجود، در بخشهایی از وردپرس، گمنامی اطلاعات ممکن است به امنیت بیشتر کمک کند.
- نام اکانت مدیریتی را تغییر دهید:
در یک نصب جدید وردپرس، یک اکانت جدید مدیریتی بسازید و اکانت پیش فرض ادمین را حذف کنید. اگر تصمیم به نصب جدید ندارید، میتوانید اکانت مدیریتی را از طریق دستوری مشابه به UPDATE wp_users SET user_login = ‘newuser’ WHERE user_login = ‘admin’; در بخش MySQL command-line client تغییر نام دهید. - پیشوند table را تغییر دهید:
بسیاری از حملات تزریقی SQL مختص به وردپرس، با این تصور عمل میکنند که این پیشوند در حالت پیشفرض، یعنی wp_, قرار دارد. تغییر این پیشوند، تعدادی از حملات تزریقی SQL را بلاک میکند.
بک آپ اطلاعات
در ادامه ی آموزش امنیت وردپرس یا امنیت سایت ، از اطلاعات و دیتابیسهای MySQL بطور مرتب بک آپ بردارید.
رمزگزاری بک آپ، نگهداری سوابق مستقل از هشهای MD5 برای هر فایل بک آپ، و قرار دادن بک آپ بر روی واسطههای read-only باعث بالا بردن اطمینان شما از امنیت اطلاعات میشود.
یک استراتژی بک آپ مطمئن، میتواند شامل نگهداری snapshot هایی با فواصل زمانی معین از تمامی نصب وردپرس شما (شامل فایلهای هسته و دیتابیس) در یک مکان امن شود. تصور کنید سایتی در روز اول ماه بدست هکرها بیفتد و کسی از این مساله تا روز۱۲ماه خبردار نشود. از طریق این استراتژی، دارندهی سایت بک آپهایی دارد که میتواند از طریق آنها سایت را به حالت قبل از هک برگرداند و حتی میتواند از طریق بک آپهایی که بعد از هک گرفته شدهاند، مشخص کند که دقیقاً چه بخشهایی از سایت هدف حمله بودهاند.

آموزش امنیت وردپرس
ثبت لاگینگ
در ادامه ی آموزش امنیت وردپرس یا امنیت سایت ، ثبت ورود و خروجهای سایت، یکی از بدردبخور ترین روشها برای داشتن اطلاعاتی در مورد وبسایت هستند. از این طریق میتوانید بفهمید که چه زمانی، چه کاری توسط چه کسی در وب سایت انجام شده است. متاسفانه از طریق این لاگها نمیتوانید بفهمید چه نام کاربریای وارد سیستم شده اما میتوانید IP و زمان آنرا بفهمید. به علاوه، میتوانید هر کدام از حملات زیر را از طریق لاگها ببینید: حملات تزریق کد (XXS)، گنجاندن فایل از راه دور (RFI)، گنجاندن فایل محلی (LFI) و حملات پیمایش دیرکتوری. به علاوه، خواهید توانست حملات جستجوی فراگیر را نیز مشاهده کنید.
اگر کمی به کار با لاگها وارد شوید، چیزهایی خواهید دید مانند اینکه چه زمانی ویرایشگرهای پوسته و افزونه در حال استفاده هستند،چه زمانی کسی ویجتهای شما را آپدیت میکند و یا صفحه و مطلبی اضافه میکند.
از لحاظ امنیتی، دو راهحل اوپن سورس اساسی هستند که بهتر است بر روی سرور خود داشته باشید.
OSSEC میتواند در هر توزیعی ازNIX و همچنین در ویندوز اجراشود و اگردرست تنظیم و کانفیگ شود، بسیار قدرتمند است. باید آنرا به طوری تنظیم کنید که تمامی access_logs و error_logs را ثبت کند. به علاوه، فراموش نکنید که تنظیمات را طوری انجام دهید که نویز نیز فیلتر شود.
نظارت
گاهی اوقات، ممکن است علی رغم اقدامات پیشگیرانه، باز هم هک شوید. به همین دلیل است که تشخیص و نظارت بر نفوذ از اهمیت زیادی برخوردار است. با استفاده ازاین روش میتوانید با عکسالعملی سریع، بفهمید که چه اتفاقی افتاده و سایت را به حالت اول برگردانید.
نظارت بر لاگها
اگر بر روی یک سرور شخصی هستید و دسترسی روت دارید، میتوانید براحتی طوری تنظیمات انجام دهید که بتوانید ببینید چه اتفاقاتی در حال رخ دادن هستند. OSSEC این کار را تسهیل میکند.
نظارت بر ویرایش فایلها
یک حمله همیشه اثراتی از خود (فایلهای تازه، فایلهای ویرایش شده و غیره) بر جا میگذارد. اگر از OSSEC استفاده میکنید، فایلهای شما را نظارت میکند و تغییراتی که در آنها ایجاد میشوند را اطلاع میدهد.
نظارت بر سرور از خارج
اگر هکری قصد ایجاد اختلال در سایت شما و یا اضافه کردن بدافزار داشته باشد، میتوانید از طریق یک سیستم نظارت بر بینقصی بر پایهی وب نیز از این تغییرات مطلع شوید. امروزه ابزارهای بسیاری از این دست را میتوانید از طریق جستجو در گوگل به احتی پیدا کنید.
این موارد آموزش امنیت وردپرس و امنیت سایت ، جزئی از مواردی بود که میبایست در طراحی سایتها صورت پذیرند. در صورت هر گونه سوال در مقالهی آموزش امنیت وردپرس میتوانید سوالات خود را از طریق فرم نظرات بیان نمایید.
افزودن دسته بندی به پست تایپ های سفارشی وردپرس امروز تیم طراحی سایت اصفهان یه مقاله ی آموزشی عالی و جذاب رو براتون آماده کرده. این مقاله در مورد افزودن دسته بندی به پست تایپ های سفارشی وردپرس هست. ایجاد دسته بندی های سفارشی کار راحت و آسونیه که قراره باهم یاد بگیریم. دوستان، اول از همه باید براتون بگم شما در ابتدای کار باید کدنویسی لازم رو برای ایجاد کردن پست تایپ سفارشی (نحوه ی ساخت پست تایپ سفارشی در وردپرس) در وردپرس در قالب سایتتون اضافه کرده باشید تا برسیم به آموزشی که تو این مقاله میخوایم خدمتتون ارائه کنیم. تا آخر مقاله همراهمون باشید و نظر وسوالاتتون رو در قسمت نظرات برامون بفرستید. شاید تا حالا براتون این سوال پیش اومده باشه که آیا در پست تایپ های سفارشی هم امکان دسته بندی فراهم هست یا خیر؟ در پاسخ به این سوال باید براتون بگم که تو دنیای وردپرس هیچ کاری نشد نداره و براتون کامل توضیح میدیم که چطوری این کار قابل انجامه. طبقه بندی در وردپرس از اون چیزاییه که اکثر افراد از اون استفاده می کنند. ولی خودشون از استفاده از اون آگاهی ندارن. درواقع می تونیم بگیم راهی برای گروه بندی نوشته ها باهم دیگه هست. شما می تونید برای ایجاد کردن گروه های سفارشی از دسته بندی سفارشی استفاده […]
آموزش دیجیتال مارکتینگ اصفهان همواره دنیا، دنیای آموزش دیجیتال مارکتینگ، رقابت و تجارت بوده و هست. امروزه با پیشرفت تکنولوژی و ظهور عصر ارتباطات و گره خوردن زندگی مردم با اینترنت، این رقابت به عرصهای تنگاتنگ برای جذب مشتری بهوسیلهی دیجیتال مارکتینگ بدل شده است. اگر این سوال برای تان پیش آمده که دیجیتال مارکتینگ چیست و چه تاثیری بر کسب و کارتان دارد، یا چگونه می توانم پا به این عرصه بگذارم و از این دست سوال ها نگران نباشید، در این مقاله سعی شده است بهترین پاسخ برای پرسش های شما را، به امید آنکه سهم کوچکی در پیشرفت شما داشته باشیم، بیاوریم. دیجیتال مارکتینگ چیست؟ دیجیتال مارکتینگ را می توان به بیان ساده مجموعه فعالیت هایی که به وسیله ابزارهای دیجیتال با هدف معرفی برند و محصولاتتان و البته کمک به پیشبرد کسب و کارتان انجام می گیرد، تعریف کرد. با محبوبیت روزافزون شبکههای اجتماعی و استفادهی میلیونی از اینترنت، دیجیتال مارکتینگ به منظور بازاریابی و تبلیغ محصولات، گسترش یافت. بازاریابی دیجیتال با منطبق ساختن خود با اصول مارکتینگ توانسته توجه کسب و کارها از کوچک تا بزرگ را به خود جلب کند. تاریخچه دیجیتال مارکتینگ دیجیتال مارکتینگ در اوایل دهه 2000 آغاز شد و در حال حاضر یک استراتژی عمده برای بازاریابی اینترنتی است. علاوه بر اینکه به نام بازاریابی مبتنی بر اطلاعات نیز شناخته […]
ویروس مارکتینگ چیست؟ چه تأثیری روی تجارت من می گذارد؟ آیا ممکن است ویروس مارکتینگ به افزایش فروش و کسب درآمدم کمک کند؟ شاید شما نیز با شنیدن نام ویروس مارکتینگ یا بازاریابی ویروسی از این دست سؤالات و هزاران سؤال دیگر برای تان پیش آمده باشد. در این مقاله از وب یار سعی کرده ایم به راحت ترین صورت ممکن این نوع بازاریابی را برای شما عزیزان توضیح دهیم. ویروس مارکتینگ چیست؟ ویروس مارکتینگ یا بازاریابی ویروسی نوعی از بازاریابی و دیجیتال مارکتینگ است که به کمک خلاقیت، نوآوری، اینترنت و شبکه های اجتماعی، شناخت رفتار و علایق مردم و ابزارهای مختلف به دیده شدن یک محتوای متنی، عکسی و ویدئو در بستر اینترنت می رسیم. به زبان راحت تر شما محتوای خود را به گونه ای تولید می کنید که مردم با به اشتراک گذاری محتوای شما به شیوهای دهان به دهان باعث دیده شدن تان شود.در این نوع از بازاریابی به سرعت محتوای شما در اینترنت گسترش مییابد و شما بهترین فرصت را برای شناساندن خود وکسب و کارتان به افراد را به دست میآورید. انتخاب عنوان بازاریابی ویروسی نیز بر همین اساس است. ویروس ها به سرعت تکثیر مییابند و در میان افراد پخش می شوند. شما نیز با صرف هزینهای به نسبت کم می توانید محتوایتان را در سطح اینترنت پخش و به سرعت […]
در خصوص ارزهای دیجیتال قولی به شما داده بودیم که با مفاهیم کلی این بازار شما را آشنا کنیم و راه کسب درآمد از آن را به شما نشان دهیم. در این مقاله با یک موضوع جذاب دیگر در خدمت شما هستیم. مقاله در مورد دسته بندی ارزهای دیجیتال می باشد. همانطور که در مقالات قبل گفتیم ارزهای دیجیتال به وجود آمده اند تا خدمتی را جامعه بشری انجام دهند. بر اساس این خدمات ما این ارزها را دسته بندی میکنیم. دسته بندی ارزهای دیجیتال: ارزهای دیجیتال شامل ۶ دسته می شوند: ارز های دیجیتال ارز های خصوصی ارزهای خدماتی ارزهای ثابت توکن های خاص توکن های ایمن در بالا شش دسته ارزهای دیجیتال را برای شما نام بردیم. در ادامه می خواهیم آنها را تک به تک مورد بررسی قرار دهیم. ارزهای دیجیتال: این دسته از ارزهای دیجیتال برای دریافت و پرداخت استفاده می شوند. برخلاف تصوری که الان در ذهن شما ایجاد شد بیت کوین نسبت به ارزهای دیجیتال دیگر مانند اتریوم از سرعت کمتری برای دریافت و پرداخت برخوردار است. سعی کنید از ارزهای دیگر ای که بلاک چین سریعتری دارند استفاده کنید. ارز های خصوصی: ارزهای خصوصی یا در اصطلاح privacy coin ها برای حریم خصوصی شما به وجود آمده اند. این دسته از ارز ها مورد توجه بسیاری از خلافکارها و قاچاقچیان میباشند. […]
در این مقاله در ابتدا با زمینه دلخواه در وردپرس آشنا شده و در پایان نحوه اضافه کردن آن به قالب وردپرس آموزش داده می شود. زمینه دلخواه چیست ؟ زمینه های دلخواه یا زمینه های سفارشی (Custom Fields) یک ویژگی در وردپرس است که به کاربران اجازه می دهد هنگام نوشتن یک پست اطلاعات بیشتری اضافه کنند. وردپرس این اطلاعات را به عنوان متا داده ذخیره می کند. برای مثال تصور کنید شما محتوایی در رابطه با یک کتاب نوشته و به نقد آن می پردازید. در پایان محتوا قصد دارید تعداد صفحات کتاب و یا قیمت کتاب را نیز بیان کنید. این اطلاعات اضافی را می توان به راحتی با Custom Fields یا همان زمینه های سفارشی وردپرس نمایش داد. لازم به ذکر است زمینه های سفارشی بصورت پیش فرض پنهان هستند و باید آن ها را فعال کنید که در ادامه به آن می پردازیم. آموزش اضافه کردن زمینه های سفارشی به قالب وردپرس برای استفاده از زمینه های دلخواه در وردپرس به هیچ افزونه ایی نیاز ندارید و تنها با اضافه کردن دو قطعه کد ساده می توانید از آن ها استفاده کنید. در ابتدا باید کد زیر را در فایلی که می خواهید زمینه دلخواه در آن جا نمایش داده شود اضافه کنید. به عنوان مثال قصد داریم قیمت کتاب را در صفحه single.php […]
تا به حال اسم UX را شنیده اید؟ تفاوت آن را با UI می دانید؟ چرا باید در طراحی های خود از متخصصین UX کمک بگیریم؟ با ما همراه باشید تا پاسخ سوالات خود را دریافت کنید. در ابتدا باید با مفاهیم UX آشنا شویم. پس مطلب اول را برای شما عنوان می کنیم: UX چیست؟ UX برگرفته از کلمه User experience می باشد. در معنای لغوی این کلمه به معنای تجربه کاربر می باشد. اما در دنیای کامپیوتر در زمینه هایی مانند طراحی اپلیکیشن های ویندوز،موبایل و در طراحی وب سایت ها معنای کمی متفاوت دارد. User eXperience در واقع همان تجربه ای است که کاربر از طریق کار کردن با سامانه یا وب سایتی که شما طراحی کردید بدست می آورد. فرایند UX از آنجایی شروع خواهد شد که کاربر اسم برند شما را خواهد شنید. پس از آن مهم است که از چه طریقی شما را بشناسد.از طریق وب سایت ، ایمیل، تلفن گویا و مواردی از این قبیل. مثال : در قرار های کاری نیز وقتی شخصی برای بار اول شما را ملاقات می کند، رفتار شما بسیار در طرز فکر او نسبت به شما تاثیر دارد. در دنیای طراحی وب یا اپلیکیشن نیز به همین گونه می باشد. فرض کنید شما یک فروشگاه اینترنتی دارید. کاربر به سایت شما می آید. اولین بازدید از سایت […]